防火墙安全等级.ppt

Your company slogan 防火墙安全等级及策略 防火墙安全等级及策略 1 防火墙安全等级设置 2 防火墙技术 3 防火墙安全策略 4 防火墙安全等级概述 防火墙安全等级概述 从2010年5月1日起，对防火墙、安全路由器等13种产品，实行强制性认证，未获得中国信息安全认证证书的产品，不得进入政府采购。其中，备受关注的防火墙类产品从09年5月份开始接受中国信息安全认证中心的强制检测。? ? 中国信息安全认证中心依照的检测标准之一就是《信息安全技术 防火墙技术要求和测试评价方法 GB/T20281-2006》。在该《方法》中，防火墙在安全等级方面被分为了三级，第三级为最高级。由于整个标准文字非常多，看起来比较费力，我们从功能分类方面大致上归纳了三个等级之间的区别。 第一级：包过滤、应用代理、NAT、流量统计、安全审计、管理。? ? 第二级：除包含第一级所有功能分类外，增加了状态检测、深度包检测、IP/MAC地址绑定、动态开放端口、策略路由、带宽管理、双机热备、负载均衡功能。? ? 第三级：除包含第二级所有功能分类外，增加了VPN、协同联动功能。 除了在功能分类上有区别外，每个功能分类下的功能要求细目也是逐级加强、增多。由于功能要求细目数量比较多，在此不做分析。 防火墙安全等级概述 ? 我们单从功能分类方面也会发现，防火墙第二级增加了很多实用功能，尤其是IP/MAC地址绑定、带宽管理、双机热备，在企业网络管理中更为实用。而第三级中增加的VPN功能和协同联动功能，更为企业远程接入和全网安全提供了保障。? ? 我们知道，国家密码管理局在2009年初颁布了最新的《SSL VPN技术规范》，并对涉密产品中的算法做出了严格的限定，SM1算法成为商用密码产品中使用范围最广的算法。而《方法》中规定，防火墙第三级中的VPN功能，必须符合国家密码管理局相关的标准。这样一来，符合第三级标准的防火墙不仅具备了传统防护墙的实用功能，更拥有了符合国家标准的加密传输功能，成为政府、金融、企业中传输加密的首选产品。 设定防火墙安全等级 虽然防火墙预设会根据你连接的网络类型而套用不同的安全等级，但也可以随时视需要变更这项设定 执行此动作的步骤如下： 1.点选主功能表上的【状态】； 2.在【防护】区段，点选【设定】； 3.选择【防火墙】选项； 4.在【网络】区段，点选【设定】； 5选择网路 (如果网路不只一个的话)，並且指定你想要用来识別的网路名称。点选【设定】； 6.指定此网路是受信任的网路或公共网路。 受信任位置：受信任的网路是区域网路 (例如家里的网路)，你可以与网路上的其他电脑共用档案或印表机。如果你选择此项，在你的电脑连接到区域网路时，防火墙套用的安全等级可让你与网路上的其他电脑共享各种资源。 公用位置：公共网路是指你的电脑可以在公共场所连线的网路，例如在机场、大学、网吧... 等。如果你选择此项，防火墙会套用限制性较高的安全等级，防止网路上的其他电脑存取你的共用资源。 硬件防火墙如果 从技术上来分又 可分为两类, 即 标准防火墙和双 家网关防火墙。 防火墙安全技术 “防火墙”是一种形象的说法, 其实它是一种由计算机硬件 和软件的组合, 使互联网与 内部网之间建立起一个安全 网关( scurity gateway), 从而保护内部网免受非法用 户的侵入，它其实就是一个 把互联网与内部网（通常这 局域网或城域网）隔开的 屏障。 防火墙如果从实现 方式上来分，又分 为硬件防火墙和软 件防火墙两类 防火墙安全技术 防火墙实现应用安全八项实用技术 ： 1.深度数据包处理　　深度数据包处理有时被称为深度数据包检测或者语义检测，它就是把多个数据包关联到一个数据流当中，在寻找攻击异常行为的同时，保持整个数据流的状态。深度数据包处理要求以极高的速度分析、检测及重新组装应用流量，以避免给应用带来时延。下面每一种技术代表深度数据包处理的不同级别。 2. TCP/IP终止　　应用层攻击涉及多种数据包，并且常常涉及多种请求，即不同的数据流。流量分析系统要发挥功效，就必须在用户与应用保持互动的整个会话期间，能够检测数据包和请求，以寻找攻击行为。至少，这需要能够终止传输层协议，并且在整个数据流而不是仅仅在单个数据包中寻找恶意模式。  3. SSL终止　　如今，几乎所有的安全应用都使用HTTPS确保通信的保密性。然而，SSL数据流采用了端到端加密，因而对被动探测器如入侵检测系统（IDS）产品来说是不透明的。为了阻止恶意流量，应用防火墙必须终止SSL，对数据流进行解码，以便检查明文格式的流量。这是保护应用流量的最起码要求。如果你的安全策略不允